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Abstract 



The subscribers (A,B etc.) are connected to a key distribution centre (SVZ) for the preauthentication phase 
in which they signal their identities in accordance with the El Gamal scheme. The centre selects a Galois 
field GF(q) and a primitive (alpha) which is raised to the power of a negative random number (x) to form the 
public part of the key. 

In the following exchange phase two subscribers produce a common secret key by a modified Diffie- 
Hellmann method. 

ADVANTAGE - Flexible enough for extension to new and individually distinguishable subscribers, and 
requires little memory capacity- 
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Verfahren zum authentiftzierten Schlusselaustausch. 



@ Der erfindungsgemasse Schlusselaustausch findet in 
einem Netz mft einer Schlussetverteifzentrale SVZ und 
mehreren Benutzern A, B, ... statt und weist zwel Phasen 
auf, namlfch elne Praauthentffikatlonsphase und efne 
SchlQsselaustauschphase. In der Praauthentffikatlons- 
phase kommt feder Benutzer A, B. ... zur SchlOssefverteK- 
zentrale SVZ und fasst sich seine Identftat mlt dem El- 
Gamal Schema signieren. in der nachfoigenden SchlQssel- 
austauschphase erzeugen zwel Benutzer A und B elnen 
gemeinsamen GeheimschfQssei z nach einem abgeander- 
ten Dtffie-Hellmann Verfahren. 
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Beschreibung 

Technisches Gebiet 

Die Erfindung betrifft ein Verfahren zum authen- 
tifizierten Schlusselaustausch in einem Netz mit ei- 
nef SchlQsselverteilzentrale und mehreren Teilneh- 
mern. 

Stand derTechnik 

Verfahren zur Erzeugung von authentifizierten 
GeheimschiOsseln werden z.B. in der europaischen 
Patentanmeldung EP-A 0 307 627 und In der deut- 
schen Auslegeschrift DE-A 3 91 5 262 beschrieben. 

Das erste der beiden Verfahren fuhrt die Au- 
thentifikation fiber das offentliche Teiefonnetz 
durch und ist entsprechend nicht fOr alle Anwen- 
dungen gleichermassen geelgnet. Das zwerte Ver- 
fahren verwendet eine pr3authentifizierte Liste 
von dffentiichen TeilnehmerschlOsseln und ist fur 
den automatischen Betrieb entworfen worden. Bei 
der Aufnahme einer Verbindung muss jedoch der 
offentliche TeflnehmerschlGssel jeweifs a us der 
praautherrtifizierten Liste gelesen werden. Dabei 
gibt es zwei Mogtichkeiten: Entweder wird die Liste 
fn jedem GerSt gespeichert, was bei grossen Net- 
zen viel Speicherplatz (proportional zur Teilnehmer- 
zahl) beansprucht und bei Netzerweiterungen eine 
aufwendlge Informationsubertragung verlangt, 
oder die Liste wird zentrai gefOhrt, was bei jedem 
Verbindungsaufbau zwei ROckfragen an die SchlQs- 
selverteilzentrale verlangt. 

Eine zentraie Uste mit lokalen Auszugen stellt fOr 
viele Anwendungen eine vemOnftige Losung dar. 
Dort wo jedoch die Verbindung bei wenig Speicher- 
piatz, autonom aufgebaut werden soil und eine Au- 
thentifikation der Teilnehmer einzeln notwendtg ist, 
ist auch dieses Verfahren nicht sehr hilfreich. Bei- 
spiele dafOr sind Netze von POS*Terminals, mobile 
Telefbnsysteme und sonstige Funknetze sowie 
Computernetze. 

Zur Identifikation (u.a. an POS-Terminals) sind 
von 

- Rat und Shamir («How to Prove Yourself: Practi- 
cal Solutions to Identification and Signature Pro- 
blems^ Advances in Cryptology - CRYPTO'86, 
Lecture Notes in Computer Science, Vol 263, pp. 
186-194, Springer Verlag 1987), 

- UC. Guiflou, J.-J. Quisquater («A Practical Zero 
Knowledge Protocol Fitted to Security Micropro- 
cessor Minimizing Both Transmission and Memory, 
Advances in Cryptology ~ EUROCRYPT88, Lec- 
ture Notes in Computer Science, Vol 330, pp. 123- 
128, Springer Veriag 1988), und von 

- T. Beth, {^Efficient Zero Knowledge Identification 
Scheme for Smart Cards*, Advances in Cryptolo- 
gy - EUROCRYPT88, Lecture Notes in Computer 
Science, VoL 330, pp. 77-84 Springer Veriag 1988) 
sogenannte «zero knowledge proofs* vorgeschla- 
gen worden. Bei einem solchen «zero knowledge 
proofs geht jeder Benutzer in einer Prtauthentifika- 
tionsphase zur SchlQsselvarteilzentrale, welst sich 
aus und bekommt von der Zentraie den offentlichen 
NetzschlGssel sowie die zu seiner Identity ID (z.B. 



AHV-Nummer) gehdrige Signatur S {ID), welche die 
Zentraie mit dem geheimen NetzschlQsset bildet 

Will sich nun A gegenOber einem anderen Benut- 
zer B ausweisen, so beweist er in einem Protokoll 
5 mit B, dass er S(ID) kennt, ohne die Signatur selbst 
preiszugeben. Die Signatur wird dabei unter Ver- 
wendung des dffentiichen NetzschlOsseis geprOft 

Darstellung der Erfindung 

10 

Aufgabe der Erfindung ist es f ein Verfahren zum 
authentifizierten SchiOsselaustausch in einem Netz 
mit einer SchlQsselverteilzentrale und mehreren 
Teilnehmern anzugeben, welches flexibel in bezug 
15 auf die Erweiterung durch neue Benutzer ist, einen 
geringen Speicherbedarf hat und die Nachteile der 
bekannten Verfahren vermeidet 

Erfindungsgemass besteht die Losung darin, 
dass in einer Praauthentifikationsphase 

20 

a) die SchlOsselverteiizentrale eine Funktion f(.) 
zur Erzeugung von Identitatsnummern, einen endii- 
chen Korper GF(q), in wetehem die Rechenoperafio- 
nen ausgefOhrt werden, eine Funktion g: GF(q) x 

25 GF(q) -* GF(q), ein primitives Element a e GF(cj) 
und eine geheime erste Zufallszahl x wahlt, aus wel- 
chen sie einen offentlichen NetzschlOssel y = cr x 
bildet, 

b) die SchlQsselverteilzentrale jedem Benutzer eh 
30 ne Identitatsnummer ID « f(A) signiert, indem die 

SchiOsselverteitzentrale eine geheime zwerte Zu- 
fallszahl k wahlt, welche die Eigenschaft gcd(k,q-t) 
= 1 hat, aus der Zufallszahl k einen offentlichen Be- 
nutzerschlussel r = a* und einen geheimen Benut- 
35 zerschiOssel s mit der Eigenschaft xr+ks = ID mod 
(q-1) bildet und dem Benutzer seine beiden Benut- 
zerschlussel mitteilt, 

und dass in einer SchlOsseiaustauschphase zwi- 
schen einem ersten Benutzer A und einem zweiten 
40 Benutzer B 

c) jeder der beiden Benutzer A resp. B dem ande- 
ren seinen dffentiichen Benutzerschlussel r resp. 
r mitteilt, 

d) jeder der beiden Benutzer A resp. B die Iderrti- 
45 tatsnummer ID' = f(B) resp. ID « f{A) bildet und aus 

dieser Identitatsnummer und dem BertutzerschlQs- 
sel r resp. r des jeweils anderen eine Grosse rsr « 
oioy resp. r» » a'Dy bildet, 

e) jeder der beiden Benutzer A resp. B eine ge- 
50 heime Zufallszahl t resp. r erzeugt und darnft einen 

Code r*t resp. rf bildet, welchen er dem anderen 
Benutzer B resp. A mitteilt und 

f) die beiden Benutzer A und B einen gemeinsa- 
men geheimen KommunikationsschlQssel 

55 z-gfrtV^bilden. 

Es versteht sich von selbst, dass der endliche 
Korper GF(q) so gewahlt wird, dass q-1 eine Zahl mit 
mindestens einem grossen Primfaktor ist Bis auf eh 
ne werden alle erfindungsgemassen Operatfonen in 
diesem Kdrper ausgefOhrt 

Mit den bekannten «zero knowledge proof** Ver- 
fahren hat die Erfindung die Eigenschaft gemein- 
sam, ebenfalls die Signatur der IdentMt S(ID) als 
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geheimes AuthentifikationsmerkmaJ zu benutzen. Im 
Unterschied zu den bekannten Verfahren wind die- 
ses Merkmal jedoch zur Konstruktion eines gemein- 
samen, gegenseitig authentrfizierten SchlOssels 
.verwendet 

Aus den abhangigen PatentansprOchen ergeben 
sich vorteiihafte Ausfuhrungsformen der Erfin- 
dung. 

Kurze Beschreibung derZeichnung 

Nachfotgend soli die Erflndung anhand von Aus- 
fQhrungsbeispielen im Zusammenhang mit derZeich- 
nung naher erlautert werden. Es zeigen: 

Fig. 1 eine schematische Darsteltung der Praau- 
thentifikationsphase; und 

Rg. 2 eine schematische Darsteilung der SchlOs- 
selaustauschphase zwischen zwei Benutzem. 

Die in der Zefchnung verwendeten Bezugszei- 
chen und deren Bedeutung sind in der Bezeich- 
nungsliste zusammenfassend tabelliert 

Wege zur Ausfuhrung der Erfindung 

Der erfindungsgemasse SchlOsselaustausch fin- 
det in einem fur die Obertragung von digitaJen Da- 
ten geeigneten Netz mit einer SchlGsselverteilzen- 
trale SVZ und mehreren Benutzem A, B,... statt 
und welst zwei Phasen auf, namlich eine Praauthen- 
tifikationsphase und eine SchlQsselaustauschpha- 
se. In der Praauthentifikationsphase kommt jeder 
Benutzer A, B F ... zur Schlusselverteilzentrale SVZ 
und lasst sich seine Identitat gemass dem EI-GamaJ- 
Schema signieren. in der nachfolgenden Schlussel- 
austauschphase erzeugen zwei Benutzer A und B 
einen gemeinsamen GeheimschlOssel z nach einem 
abgeanderten D'rfRe-Hellmann-Verfahren. 

Rg. 1 zeigt eine schematische Darsteilung der 
Praauthentifikationsphase. Als erstes wahft (SE- 
LECT) die Schlusselverteilzentrale SVZ einen endlh 
chen Korper GF(q), wobei q-1 typischerweise einen 
grossen Primfaktoren aufwefst, und ein primitives 
Element a c GF(q). Dann erzeugt sie zufallig (FtAN- 
DOM) als geheimen NetzschlQssel (^private part») 
eine erste ZahJ x, aus welcher sie einen offentlichen 
NetzschlQssel (^public part*) y - cr* bildet (Es 
versteht sich, dass diese und die spater beschrie- 
benen Operationen im encflichen Korper GF(q) aus- 
gefQhrt werden, wenn es nicht explizft anders spe- 
zffiziert wird.) Wetter definlert sie eine geefgnete 
Funktion f(.) y welche aus den Identitatsmerkmalen 
eine eindeutige Identitatsnummer erzeugt Schliess- 
lich definiert sie noch eine geeignete Funktion g: 
GF(q) x GF(q) -* GF(q). Vorzugsweise ist diese 
Funktion das Produkt 

Die durch f(.) bestimmte Identitatsnummer ID 
kann beispielsweise durch Abtasten des Fingers 
(Fingerabdruck) gebildet werden. Es kdnnen aber 
auch weitere Merkmaie eingehen. Typischerweise 
Ist f(.) eine Bnwegfunktion (one way ftinction), die 
auf den Datenstring bestehend aus Namen, Voma- 
men, Geburtsdatum und eventuell weiteren Merkma- 
len angewandt wird. 



Den endlichen Kdrper GF(q), das primitive Ele- 
ment a und den offentlichen NetzschlQssel y sowie 
die Funktion f(.) gibt die Schlusselverteilzentrale 
SVZ dffentlich bekannt Den geheimen Netzschius- 
5 sel x speichert sie zugriffsgeschQtzt ab. 

Die Schlusselverteilzentrale SVZ hat damit die 
gaindlegenden, allgemetnen Vorbereitungen abge- 
schlossen. Nun kommt jeder Benutzer zur SchlQs- 
selverteiizerttraie SVZ und lasst sich seine Identi- 
10 tdt gemass dem El-Gamal-Schema signieren. 

Der Benutzer A weist sich aus (z.B. mit seinem 
Reisepass), worauf die SchlQssetverteifzentrale 
SVZ mit Hilfe der Funktion f(.) eine eindeutige Iden- 
titatsnummer ID « f(A) berechneL Dann erzeugt sie 
15 zufallig (RANDOM) eine benutzerspezifische Zahl 
k, welche die Eigenschaft gcd(k,q-1) » 1 hat (gcd - 
greatest common divisor). Aus der zweiten ZufaJIs- 
zahl k bildet sie einen fiffentiichen BenutzerschlQs- 
sel r = a k und einen geheimen BenutzerschlQssel s 
20 mit der Eigenschaft xr+ks « ID mod (q-1 ). Die beiden 
BenutzerschlQssel r und s teilt sie dem Benutzer A 
mit, der den geheimen BenutzerschlQssel s zugriffs- 
gesichert abspeichert. 
Jeder Benutzer, der im Netz zugelassen werden 
25 will, muss die beschriebene Praauthentifikations- 
phase durchlaufen. 

Rg, 2 zeigt eine schematische Darsteilung der 
SchlQsseiaustauschphase. Sie findet zu Beginn ei- 
ner Kommunikation zwischen einem ersten Benutzer 
30 A und einem zweiten Benutzer B statt. 

Jeder der beiden Benutzer kennt dabei die df- 
fentlich bekannten Parameter f(.), g(.,.), GF(q), a, 
y, sowie seine SchlQssel r und s resp. f und s*. Ty- 
pischerweise hat er auch seine efgene Identftats- 
35 nummer ID resp. ID' abgespeichert 

Die beiden Benutzer A und B berechnen als er- 
stes die Identitatsnummer ID' und ID und tauschen 
den offentlichen BenutzerschlQssel r und r aus. 
Als zweites bildet jeder der beiden Benutzer A 
40 resp. B aus der Identitatsnummer ID' resp. ID und 
dem BenutzerschlQssel f resp. r des jeweils ande- 
ren eine Grdsse r^ = a^y^ resp. r* = a'Dy. Als 
drittes erzeugen sie zufallig (RANDOM) je eine ge- 
heime Zahl t resp. f und errechnen daraus je einen 
45 Code r* resp. r^ Dann wird dieser Code r* resp. 
K ausgetauscht Zum Schluss bildet jeder der bei- 
den Benutzer A resp. B aus den bekannten GrOs- 
sen den gemeinsamen GeheimschlQsse! (^session 
50 key») 

z = g (K® r*\ 

Das erfindungsgemasse Verfahren hat u.a. fol- 
gende Vortelle: 

55 1. Ausser den eigenen identifikationsmerkmalen 
genugt die Kenntnis eines einzigen «public keys* 
zum authentifizierten SchlOsselaustausch mrt einem 
beliebigen anderen Benutzer des Netzes. Das Ver- 
fahren zeichnet sich folglich durch einen sehr ge- 

60 ringen Speicherbedarf aus. 

2. Jeder praaulhentifizierte Benutzer kann mit 
jedem anderen praauthentifizierten Benutzer einen 
authentrfizierten SchlOsselaustausch vornehmen, 
ohne dabei auf die Schlusselverteilzentrale zu- 

65 rOckgreifen zu mQssen (off-line authentrfizierter 
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SchlusseJaustausch). On mit diesem System betrie- 
benes Netz ist dadurch auch beliebig fiexibel in be- 
zug auf Erweiterung des Teiinehmerkreises. 

3. Dennoch sfnd bei dem erfindungsgemassen 
SchlOsselaustausch alle Teflnehmer unterscheid- 
bar, d.h, es kann sich keiner fOr einen anderen aus- 
geben. 

Zur Sicherhert des erfindungsgemassen SchlOs- 
selaustausches lasst slch folgendes sagen: 

1- Falls man s aus a, y, ID und r bestimmen kann, 
kann man das EI-Gamal r sche Signaturschema bre- 
chen, welches allgemein als sicher angesehen wind. 

2. Falls man (rt> aus r, rs und K bestimmen 
kann, kann man den Diffie-Hellmann'schen SchlOs- 
selaustausch-AIgorithmus brechen, welcher eben- 
falfe allgemein als sicher angesehen wird. 

DIese Oberlegungen lassen es als wahrschein- 
Och erscheinen f dass bei geeigneter Wahl von q, a, 
x und k die Kenntnis von s resp. s' durch den Benut- 
zer A resp. B uneriSssIich ist fOr die Konstruktion 
des SttzungsschlGssels z+ Das erffndungsgemasse 
SchlQsselaustauschverfahren beinhaltet somit eine 
gegenseitige Authentifikation der Benutzer A und B. 

Der resultierende SftzungsschlOssel z kann nun 
fflr die verschiedensten Anwendungen benutzt wer- 
den, wie z.B. zur Chiffrierung, zur Sicherung der 
Datenintegritat Oder auch nur zur Identitatskontrol- 
Ie. 

Das erfindungsgemisse Verfahren lasst sich mit 
als soichen bekannten Mitteln reafisieren. Eine fur 
den autherrtifizierten SchlDsselaustausch zwecks 
Chifftierung geeignete Anordnung ist z.B. in der 
.eingangs erwahnten deutschen Ausiegeschrift DE- 
A3 915 262 beschrieben. 

Die EinsatzmSglichkeiten des beschriebenen 
Verfahrens sind aufgrund der envahnten Vorteile 
ziemlich breh: Mobiles Telephon, Militarfunk, Com- 
putemetze und POS-Terminals. 

Das beschriebene Schlussefaustauschverfah- 
ren ist ein «public key* Verfahren mit einem einzi- 
gen Schlussel, das einen authentifizierten Schlus- 
selaufbau zwischen zwel beliebigen Benutzem er- 
laubt Bs wird off-line betrieben, ist fiexibel in bezug 
auf Erwerterungen durch neue Benutzer und hat ei- 
nen geringen Spefcherbedarf. Der Rechenaufwand 
1st fen wesenflichen der glelche wie beim weft verbrei- 
teten Diffie-Hellmann-Verfahren. Die etwas auf- 
wendigere Et-Gamal Signatur wird jeweiis von der 
SchlDssefverteilzentrale und ausserdem fOr jeden 
Benutzer nur einmal durchgefQhrt 

PatentansprOche 

1. Verfahren zum autherttifizierten SchlDsselaus- 
tausch in einem Netz m'rt einer SchlOsselverteilzen- 
trale und mehreren Teilnehmern A, B, dadurch ge- 
kennzeichnet, dass in einer Praauthentifikations- 
phase 

a) die SchlOsselverteilzentrale eine Funktion f(.) 
zur Erzeugung von Identttatsnummem, einen 
endlichen KSrper GF(q), in welchem die Rechen- 



operationen ausgefuhrt werden, eine Funktion g: 
GF(q) x GF(q) -> GF(q), ein primitives Element 
qe GF(q) und eine geheime erste Zufallszahl x 
wShlt, aus welchen sie einen offentlichen Netz- 
5 schlussel y = a-x bildet, 

b) die Schlusselverteilzentrale jedem Benutzer ei- 
ne Identitatsnummer ID a f(A) signiert, indem die 
Schlusselverteilzentrale eine geheime zweite Zu- 
fallszahl k wahlt, welche die Elgenschaft gcd(k, 

10 q-1) = 1 hat, aus der Zufallszahl k einen offentli- 
chen Benutzerschlussel r = a k und einen gehei- 
men Benutzerschlussel s mit der Eigenschaft 
xr+ks » ID mod (q-1) bildet und dem Benutzer sei- 
ne beiden Benutzerschlussel mitteilt, 

15 und dass in einer Schlusselaustauschphase zwi- 
schen einem ersten Benutzer A und einem zwei- 
ten Benutzer B 

c) jeder der beiden Benutzer A resp, B dem ande- 
ren seinen offentlichen BenutzerschlOssel r 

20 resp. f mitteilt, 

d) jeder der beiden Benutzer A resp. B die Identi- 
tatsnummer ID* = f(B) resp. ID = f(A) bildet und 
aus dieser Identitatsnummer und dem Benutzer- 
schlOssel r* resp. r des jewefls anderen eine 

25 GrSsse rs' = a'ay resp. i* = a'Dyr bildet, 

e) jeder der beiden Benutzer A resp. B eine ge- 
heime Zufallszahl t resp. r erzeugt und damrt ei- 
nen Code r* resp. rf bildet, welchen er dem an- 

30 deren Benutzer B resp. A mitteilt und 

f) die beiden Benutzer A und B einen gemeinsa- 
men geheimen KommunikationsschlQssel z 
gfrfs, rs't) biiden. 

2. Verfahren nach Anspruch 1 f dadurch gekenn- 
35 zeichnet, dass die Funktion g(.„) die Multiplikation 

im endlichen Korper GF(q) ist. 

3. Verfahren nach Anspruch t, dadurch gekenrv 
zeichnet, dass die Funktion f(.) eine Einwegftjnktion 
ist 

40 
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x random: 



• ID» f(A> 

• k random 
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• select s 
xr*ks»ID.mod(q-D 
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ID,r 
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